VYGANTAS VAREIKIS

Nulinė diena

 

Prieš 60 metų kompiuteriai, kuriuose buvo kaupiama ir saugoma informacija, virto komunikaciniais įrenginiais. Atsivėrė naujų galimybių, bet kartu atsirado ir potencialių pavojų. Dar 1968 metais Pentagono gynybos mokslinių tyrimų specialistai padarė išvadą, kad šiuolaikinė technologija negali užtikrinti saugios sistemos atviroje prieigoje. 1972 metais buvo viešai pademonstruotas ARPANET – pirmasis kompiuterinis tinklas, naudojęs duomenų paketų maršrutizaciją (kitaip tariant, interneto tėvas), ir tada jo kūrėjai pareiškė, kad komunikacija per kompiuterius sukūrė unikalias šnipinėjimo ir sabotažo galimybes bei patraukė užsienio žvalgybų dėmesį, nes dėl augančios tinklaveikos tarp kompiuterių vienintelė ataka gali sugriauti visą tinklą. Valstybės paslaptys, saugiai užrakintos geležinėse spintose, buvo perkeltos į kodinius pavidalus ir prieinamos tiems, kurie turi tinkamus analizės ir kūrybiškumo gebėjimus. 1970 metais Nacionalinės saugumo agentūros (NSA) ir Centrinės žvalgybos agentūros specialistai bei JAV karinio jūrų laivyno nardytojai įmontavo sekimo įrenginį ant sovietinio ryšių kabelio prie Japonijos krantų. Informaciją iš ten jie pumpavo iki 1981 metų, kai nutekėjimas buvo atrastas. Po dvejų metų Prancūzijos ambasada Maskvoje aptiko, kad sovietai įdėjo informacijos perdavimo įrenginius į teletaipus. 1984 metais NSA naujoje Amerikos ambasadoje Maskvoje buvo priversta pakeisti visą elektros įrangą, kai buvo aptiktas ypač sudėtingas slaptas duomenų perdavimo įrenginys IBM rašomosiose mašinėlėse. Visa tai jau istorija.

Palaipsniui kompiuterinės programos tapo vis ilgesnės – nuo dešimčių iki dešimčių milijonų kodo eilučių, kontroliuojančių lėktuvus, laivus, raketas ir atomines elektrines. Programišiai buvo samdomi tam, kad surastų silpnąsias sistemos vietas. Internetas suteikė milijonus spragų įsilaužėliams, kai žmonės pradėjo siųsti didžiulius informacijos kiekius, o 2007 metais pasirodęs „iPhone“ dar labiau padidino sekimo galimybes.

Ar pastebėjote, kad kibernetinės atakos tapo tokiu kasdieniu reiškiniu, jog išnyko iš pirmųjų žiniasklaidos puslapių? 2008 metais Rusija įsilaužė į Pentagono tinklą ir į Baracko Obamos bei Johno McCaino rinkimų kampanijų sistemas. Kitais metais Šiaurės Korėjos įsilaužėliai pasirodė įvairiose Amerikos sistemose – nuo Finansų departamento iki Niujorko vertybinių popierių biržos. 2010 metais JAV ir Izraelio sukurtas virusas „Stuxnet“ sustabdė Irano branduolinės programos vykdymą, tačiau jis sugrįžo užkrėsdamas dešimtis tūkstančių kompiuterių kitose šalyse. 2012 metais Iranas, pasinaudodamas patobulinta „Stuxnet“ versija, sunaikino 30 000 kompiuterių duomenis Saudo Arabijoje. Po poros metų Šiaurės Korėjos programišiai atakavo „Sony“ kompaniją.

2015 metais rusų įsilaužėliai vėl apsilankė JAV valstybės departamente, Baltuosiuose rūmuose ir Pentagone, o per „Twitter“ ir „Facebook“ platformas dalyvavo Donaldo Trumpo rėmimo kampanijoje. 2016 metų balandį Lietuvai smogė tęstinės kibernetinės atakos, jų metu nukentėjo keliolikos valstybinių institucijų informacinių sistemų darbas. 2017 metų balandį nežinomų programišių grupė įsilaužė į NSA „nulinės dienos“ archyvą ir pagrobė skaitmeninius užraktus. Kitą mėnesį, tikėtina, Šiaurės Korėjos įsilaužėlių grupė, naudodama šiuos užraktus, įsilaužė į Britanijos ligoninių, Rusijos bankų, Vokietijos geležinkelių, Japonijos policijos, Kinijos universitetų, Indijos oro linijų ir gausybės kitų kompanijų kompiuterines sistemas reikalaudama išpirkos. Ir ją gavo. Dar po mėnesio Rusija pabandė atakuoti Ukrainos gynybos ir saugumo sistemas, tačiau šios taip smarkiai nenukentėjo, nes dauguma jų tiesiog nebuvo prijungtos prie interneto – tai Ukrainą ir išgelbėjo. Šiuo požiūriu Amerika ir kitos aukštųjų technologijų šalys yra kur kas pažeidžiamesnės.

2020 metų kovą JAV vyriausybė pranešė apie rusų programišių atakas ieškant informacijos apie skiepų nuo COVID-19 kūrimą. „Microsoft“ kompanija skelbia apie nuolatinius Rusijos ir Šiaurės Korėjos bandymus įsilaužti į vakcinos kūrimo kompanijų sistemas. Nicole Perlroth knygoje apie kibernetinės ginkluotės varžybas ne tik analizuoja valstybių organizuojamus įsilaužimus į tinklus kaip karo veiksmų operacijas, bet ir kelia klausimą apie gilesnės galimos (ar būsimos?) katastrofos galimybes (Jill Lepore, „Zero day“, The New Yorker, 2021 m. vasario 8 d.). Yra teigiama, kad egzistuoja tokia zero-days („nulinių dienų“) rinka. Pavadinimas „nulinė diena“ kilo iš „nulinio paciento“, kai yra nustatomas pirminis epidemijos šaltinis. „Nulinė diena“ yra kompiuterinės technikos (hardware) arba programinės įrangos (software) spraga, kuri neturi papildomos programos, ištaisančios programinę klaidą. Kitaip tariant, tai saugumo spraga, kuri dar nežinoma programinės įrangos kūrėjams arba žinoma, bet dar nėra ištaisyta. Kai spraga surandama, reikia turėti prieigą prie „nulinės dienos“, kad būtų galima apsiginti nuo įsilaužimo.

Pati spraga gali būti nekenksminga, tačiau „nulinė diena“ yra pažeidžiama programos silpnoji vieta, kurią galima paversti ginklu. Ir valstybės perka šiuos duomenis juodojoje rinkoje, sistemina ir saugo tarsi buboninio maro ar kitokios epidemijos sukėlėjus.

Kiekvienas kodas turi vadinamąsias klaidas (bugs). Tai netinkamų kompiuterio, programos arba žmogaus veiksmų, neteisingų duomenų arba sutrikimų rezultatas. Nedidelės klaidos ar apsirikimai, kurių gausu programos kūrimo metu, yra vadinami riktais. Matome, kaip blogiukai pasinaudoja šiais riktais, kad įsilaužtų į valstybinių ir privačių kompanijų sistemas, šios moka didžiulius pinigus programišiams, kad šie surastų tas klaidas, užfiksuotų ir padarytų nekenksmingas. Kaip sakoma, pasaulis jau nebebus toks, koks buvo. Astravo atominė elektrinė gali išeiti iš rikiuotės ne dėl baltarusių aplaidumo, bet todėl, kad kas nors sukels problemas kompiuterinėje sistemoje. Kaip ir Klaipėdos suskystintųjų gamtinių dujų terminale ar didžiųjų miestų termofikacinėse elektrinėse.

Nors kiek aprimo skandalas dėl pavogtos „CityBee“ bendrovės klientų asmeninės informacijos, tokio pobūdžio duomenų pasisavinimas ir rinkimas tebevyksta. Trumpai šmėkštelėjo ir išnyko žinia, kad asmeniniai duomenys buvo pasisavinti iš vieno lažybų portalo ir nelegaliai filmus platinančios bendrovės, tarp kurių klientų buvo ir buvęs ministras bei Seimo narys ir per Seimo portalus tokius filmus pumpavę darbuotojai. Gaila, bet žiniasklaida nepanoro toliau tęsti šios temos. O man įdomu, kada gi pasirodys informacija apie nutekintus įtakingų asmenų, kurie atsisiuntė medžiagą iš įvairiausių pornografinių ir pedofilų puslapių, duomenis? Nes, kaip rašoma Šventajame Rašte, „nėra nieko paslėpta, kas nebūtų atskleista, nieko slapta, kas nepasidarytų žinoma ir neišeitų aikštėn“. Ypač visuotinio sekimo laikais.

 

 

Rašyti komentarą

Turite prisijungti, jei norite komentuoti.